Aspek IT Governance & Risk
Management
Risk
Management adalah serangkaian prosedur dan metodologi serta analisa
terhadap setiap proses atau kegiatan yang digunakan untuk mengidentifikasi
resiko, melakukan tindakan atau persiapan untuk meminimalkan kemungkinan
terjadinya suatu resiko dan meminimalkan dampak negatif yang ditimbulkan oleh
resiko tersebut. Tujuan utama Risk Management adalah untuk keberlangsungan
hidup, bisnis dan proses / kegiatan operasional. Elemen atau unsur terpenting
yang selalu melekat didalam aplikasi tujuan Risk Management adalah
unsur keamanan (Security) dan keselamatan (Safety). Guna
mendapatkan semua aspek diatas, maka diperlukan metoda atau pola pikir untuk
selalu “sudah melakukan sebelum orang lain memikirkan” (view step aheads)
dengan sikap proaktif, responsif, penuh tanggungjawab, peduli dan penuh
disiplin. Dalam tataran aplikasi di lapangan, dibutuhkan departemen dalam
Divisi Risk Management yang secara khusus mengantisipasi dan menangani keadaan
darurat atau krisis. Apakah itu dinamakan Fire Prevention Team, Risk Control
Team (RCT), atau pun Crisis Management. Tim ini dibentuk khusus untuk menangani
masalah ini.
RCT adalah team yang
bertugas untuk menjaga keamanan dan keselamatan dengan cara menganalisis
kedepan atas setiap proses, mengidentifikasi resiko, melakukan persiapan atau
tindakan aksi untuk meminimalisasi resiko, serta meminimalisasi resiko atau
dampak dari resiko yang sudah terjadi.
Tindakan
RCT dalam perspektif Risk Management mencakup 4 tahapan, yaitu :
Pertama, Identifikasi. Kedua, Mitigasi (Pencegahan Antisipasi),
Ketiga Kontinjensi (Penanggulangan) dan terakhir
Keempat Recovery (Pemulihan).
Contoh IT Governance dan Risk
Management
Tataran
Korporasi. Aspek ini terdiri atas tiga hal. Pertama, kecukupan modal
minimum. Kedua, batasan portofolio investasi. Ketiga, pemisahan rekening
perusahaan dan nasabah. Pengaturan aspek ini dimaksudkan untuk mencegah
kejahatan korporasi (corporate crime).
Tataran
Pengelola Perusahaan. Aspek ini terdiri atas tiga hal juga. Pertama, kompetensi
manajemen berupa pengalaman dan keahlian. Kedua, integritas pengurus berupa
rekam jejak yang tidak tercela. Ketiga, tata pengelolaan yang baik dan
transparan. Pengaturan aspek ini dimaksudkan untuk mencegah kejahatan pimpinan
perusahaan (white collar crime).
Tataran
Pelaksana Lapangan Perusahaan. Aspek ini terdiri atas tiga hal. Pertama,
pengenalan selera risiko nasabah (risk appetite). Kedua, pengetahuan tenaga penjual
akan produk investasi yang dijualnya. Ketiga, transparansi dalam menjelaskan
risiko investasi. Pengaturan aspek ini dimaksudkan untuk mencegah kejahatan
tenaga pelaksana (blue collar crime).
Langkah Audit IT Governance
Auditor
TI bertanggung jawab atas penilaian efisiensi tata kelola TI dengan tingkatan
prosedur dalam pelaksanaannya. Auditor TI (dari dalam organisasi atau
independen) dapat melakukan sejumlah peran kunci dalam Gary
Hardy, “The Role of the IT Auditor in IT Governance” 1
(2009): 1–2. :
memulai
program tata kelola TI: menjelas- kan tata kelola TI dan nilainya pada
manajemen
menilai
kondisi saat ini: memberikan masukan dan membantu memberikan penilaian kondisi
yang sebenarnya
merencanakan
solusi tata kelola TI
memantau
inisiatif tata kelola TI
membantu
membuat bisnis tata kelola TI, seperti : memberikan input objektif dan
konstruktif, mendorong penilaian diri, dan memberikan keyakinan kepada
manajemen bahwa tata kelola bekerja secara efektif.
Audit IT pada Domain
Audit IT pada domain EDM (Evaluate,
Direct, and Monitor)
Proses
tata kelola ini berurusan dengan tujuan tata pemangku kepentingan dalam
melakukan penilaian, optimasi risiko dan sumber daya, mencakup praktek dan
kegiatan yang bertujuan untuk mengevaluasi pilihan strategis, memberikan arahan
kepada TI dan pemantauan hasilnya. Berikut domain proses EDM:
·
EDM01 Ensure Governance Framework Setting
and Maintenance (Memastikan Pengaturan dan Pemeliharaan Kerangka Tata
Kelola)
·
EDM02 Ensure Benefits
Delivery (Memastikan Memberi Manfaat)
·
EDM03 Ensure Risk
Optimisation (Memastikan Pengoptimalan Risiko)
·
EDM04 Ensure Resource
Optimisation (Memastikan Pengoptimalan Sumber Daya)
·
EDM05 Ensure Stakeholder
Transparency (Memastikan Transparansi Pemangku Kepentingan)
Audit IT pada domain APO (Align,
Plan, and Organise)
Memberikan
arah untuk pengiriman solusi (BAI) dan penyediaan layanan dan dukungan (DSS).
Domain ini mencakup strategi dan taktik, dan mengidentifikasi kekhawatiran cara
terbaik TI agar dapat berkontribusi pada pencapaian tujuan bisnis. Realisasi
visi strategis perlu direncanakan, dikomunikasikan dan dikelola untuk
perspektif yang berbeda. Sebuah organisasi yang tepat, serta infrastruktur
teknologi, harus dimasukkan ke dalam tempatnya. Berikut domain proses APO:
·
APO01 Manage The IT Management
Framework (Mengelola Kerangka Manajemen TI)
·
APO02 Manage Strategy (Mengelola
Strategi)
·
APO03 Manage Enterprise
Architecture (Mengelola Arsitektur Bisnis)APO04 Manage
Innovation (Mengelola Perubahan)
·
APO05 Manage Portfolio (Mengelola
Dokumen)
·
APO06 Manage Budget and
Costs (Mengelola Anggaran dan Biaya)
·
APO07 Manage Human
Resources (Mengelola Sumber Daya Manusia)
·
APO08 Manage Relationships (Mengelola
Relasi)
·
APO09 Manage Service
Agreements (Mengelola Perjanjian Layanan)
·
APO10 Manage Suppliers (Mengelola
Pemasok)
·
APO11 Manage Quality (Mengelola
Kualitas)
·
APO12 Manage Risk (Mengelola Risiko)
·
APO13 Manage Security (Mengelola
Keamanan)
Audit IT pada domain BAI (Build,
Acquire, and Implement)
Memberikan
solusi dan melewatinya sehingga akan berubah menjadi layanan. Untuk mewujudkan
strategi TI, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh, serta
diimplementasikan dan terintegrasi ke dalam proses bisnis. Perubahan dan
pemeliharaan sistem yang ada juga dicakup oleh domain ini, untuk memastikan
bahwa solusi terus memenuhi tujuan bisnis. Berikut domain proses BAI:
o
BAI01 Manage Programmes and
Project (Mengelola Program Dan Proyek)
o
BAI02 Manage Requirements
Definition (Mengelola Definisi Persyaratan)
o
BAI03 Manage Solutions Identification and
Build (Mengelola Identifikasi Solusi dan Pembangunan)
o
BAI04 Manage Availability and
Capacity (Mengelola Ketersediaan dan Kapasitas)
o
BAI05 Manage Organisational Change
Enablement (Mengelola Pemberdayaan Organisasi Perubahan)
o
BAI06 Manage Changes (Mengelola
Perubahan)
o
BAI07 Manage Change Acceptance and
Transitioning (Mengelola Penerimaan Perubahan dan Transisi)
o
BAI08 Manage Knowledge (Mengelola
Pengetahuan)
o
BAI09 Manage Assets (Mengelola
Kepemilikan)
o
BAI10 Manage Configuration (Mengelola
Susunan)
Audit IT pada domain DSS (Deliver,
Service, and Support)
Menerima
solusi dan dapat digunakan bagi pengguna akhir. Domain ini berkaitan dengan
pengiriman aktual dan dukungan layanan yang dibutuhkan, yang meliputi
pelayanan, pengelolaan keamanan dan kelangsungan, dukungan layanan bagi
pengguna, dan manajemen data dan fasilitas operasional. Berikut domain proses
DSS:
·
DSS01 Manage Operations (Mengelola
Operasi)
·
DSS02 Manage Service Requests and
Incidents (Mengelola Layanan Permohonan dan Kecelakaan)
·
DSS03 Manage Problems (Mengelola
Masalah)
·
DSS04 Manage Continuity (Mengelola
Keberlangsungan)
·
DSS05 Manage Security
Services (Mengelola Jasa Keamanan)
·
DSS06 Manage Business
Process Controls (Mengelola Kontrol Proses Bisnis)
Audit IT pada domain MEA (Monitor,
Evaluate, Assess)
Monitor
semua proses untuk memastikan bahwa arah yang disediakan diikuti. Semua proses
TI perlu dinilai secara teratur dari waktu ke waktu untuk mengontrol kualitas
dan kepatuhan mereka. Domain ini tertuju pada manajemen kinerja, pemantauan
pengendalian internal, kepatuhan terhadap peraturan dan tata kelola. Berikut
domain proses MEA:
·
MEA01 Monitor, Evaluate and Assess
Performance and Conformance (Memantau, Evaluasi dan Menilai Kinerja Dan
Penyesuaian)
·
MEA02 Monitor, Evaluate and Assess The
System of Internal Control (Memantau, Evaluasi dan Menilai Sistem
Pengendalian Internal)
·
MEA03 Monitor, Evaluate and Assess
Compliance with External Requirements (Memantau, Evaluasi dan Menilai
Kepatuhan dengan Persyaratan Eksternal)
Sumber
